蓝盾主机监控与审计系统操作手册.doc

广东天海威数码技术有限公司 蓝盾内网安全保密系统(BD-SECSYS)蓝盾主机监控与审计系统(BD-SECSYS)操作手册广东天海威数码技术有限公司2004年7月目录第一章系统概述41、系统组成42、主机代理功能特点42.1、网络检测防护功能42.2、共享防护52.3、文件检测防护52.4、注册表检测防护62.5、主机日志监控62.6、设备管理和认证72.7、主机资源审计72.8、异常检测82.9、外联监控82.10、关联安全功能82.11、文件保密工具82.12、安全透明存储功能93、典型部署9第二章 系统安装111、控制中心安装111.1、安装Mysql111.2、安装主机监控与审计系统控制中心111.2.1、安装BD-SECSYS-C111.2.2、运行BD-SECSYS-C131.2.3、登录BD-SECSYS-C141.2.4、配置BD-SECSYS-C选项152、主机代理安装152.1、制作主机代理端安装程序152.2、控制中心配置和管理主机代理16第三章 控制中心基本操作181、主机代理部分操作181.1、文件菜单181.1.1、主机用户管理191.1.2、添加主机代理201.1.3、删除主机代理201.1.4、修改主机代理211.1.5、修改主机代理密码211.1.6、连接主机代理211.1.7、断开主机代理221.1.8、清除信息框221.2、配置参数菜单221.2.1、修改配置文件221.2.1.1、系统信息221.2.1.2、模块信息231.2.2、上传配置文件241.2.3、修改模块配置文件241.2.3.1、网络检测防护241.2.3.2、共享防护261.2.3.3、文件检测防护281.2.3.4、注册表防护291.2.3.5、日志监控291.2.3.6、设备管理301.2.3.7、其它301.2.4、上传模块配置文件311.2.5、移动存储设备管理321.2.6、上传移动存储设备文件321.3、主机审计菜单321.3.1、主机代理版本331.3.2、主机代理时钟341.3.3、安全透明存储空间审计351.3.4、主机资源审计351.3.5、主机设备审计371.3.6、进程资源审计381.3.7、网络资源审计391.3.8、共享资源审计401.3.9、主机用户资源审计411.3.10、服务资源审计411.3.11、驱动资源审计421.3.12、安装软件资源审计431.4、系统菜单441.4.1、修改主机代理时钟441.4.2、修改主机代理密码441.4.3、执行命令451.5、主机日志查询471.6、实时显示功能481.7、策略模板功能502、其它操作522.1、Mysql数据库管理522.2、选项操作532.2.1、入侵警报设置532.2.2、缓冲大小/登录管理542.2.3、自动保存552.2.4、端口/服务562.2.5、邮件/短信设置572.3、控制中心用户管理582.4、控制中心日志管理592.5、修改控制中心用户密码602.6、用户usb密匙管理61第四章 蓝盾文件保密工具基本操作624.1、文件加密624.2、文件解密634.3、文件安全删除63第一章 系统概述蓝盾主机监控与审计系统(BD-SECSYS)是由广东天海威数码技术有限公司自主研发的基于内网安全和防信息泄漏的内网安全集成系统。广东天海威数码技术有限公司基于多年来积累的安全产品研发和实施经验，集中强大的研发队伍推出具有完善功能、稳定可靠和出色性能的内网安全集成产品。1、系统组成蓝盾主机监控与审计系统(BD-SECSYS)主要包括两部分组件：主机代理(BD-SECSYS-H)和控制中心(BD-SECSYS-C)。主机代理以服务的方式运行在内网被保护主机上，控制中心提供显示和管理配置功能。2、主机代理功能特点2.1、网络检测防护功能蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)拥有强大的桌面级防火墙功能，可以对系统提供的网络端口和IP进行监控、管理，允许自定义阻断策略，也可以定义事件对指定IP地址、协议和端口以及数据流向进行实时防护，从而隔断来自与网络中其他主机的非法连接请求。网络检测防护功能模块具有以下特点：网络检测防护特点内容描述主机网络资源审计审计主机网络连接状态、路由表、ARP缓存表、IP/TCP/ICMP/UDP统计表、IP地址表、网络连接状态等。自定义拦截规则用户可定义基于IP/TCP/UDP/ICMP和端口的拦截规则。ARP欺骗防护使用ARP静态表保护技术防ARP欺骗。Modem拨号检测可实时发现Modem拨号等单点破网,并能按照策略进行实时处理。2.2、共享防护在Windows操作平台，共享交换数据非常方便，但由于共享不能控制到用户级，同时共享更不能保证基于用户级的访问安全，因此会导致数据丢失或破坏。基于此蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)研发出实用的基于共享安全控制技术，能控制到共享名和用户名绑定，访问文件夹和用户名绑定，访问用户与IP地址绑定。共享防护功能模块具有以下特点：共享防护特点内容描述共享名安全根据自定义策略，能控制登录用户与共享名绑定，即用户只能访问他允许访问的共享名。共享文件夹安全根据自定义策略，能控制登录用户与共享文件夹绑定，即用户只能访问他允许访问的共享文件夹。访问用户绑定根据自定义策略，能控制登录用户与登录IP绑定，或不绑定。如果绑定IP，则用户只能在指定的IP进行登录访问，否则在任一IP可进行登录访问。安全的共享打印要使用共享打印机必须每次使用指定的用户登录后，方可打印，从而实现了安全的共享打印。2.3、文件检测防护蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)拥有强大的文件检测防护功能，无论来自本机还是网络对本主机的文件、文件夹的访问，用户都可设定访问控制策略，防止信息泄漏。文件检测防护模块的特点如下：文件检测防护特点内容描述读文件、文件夹按照策略能记录、禁止读文件、文件夹。能记录读文件、文件夹使用的进程等。 写文件按照策略能记录、禁止写文件。记录写文件当前使用的进程。删除文件、文件夹按照策略能记录、禁止删除文件、文件夹。记录删除文件、文件夹的当前使用的进程。拷贝文件、文件夹按照策略能记录、禁止拷贝文件、文件夹。记录拷贝文件、文件夹的当使用的进程。改名文件、文件夹按照策略能记录、禁止改名文件、文件夹。记录拷贝文件、文件夹的当前使用的进程。新建文件、文件夹按照策略能记录、禁止新建文件、文件夹。记录新建文件、文件夹的当前使用的进程。改变文件、文件夹属性按照策略能记录、禁止改变文件、文件夹属性。记录改变文件、文件夹属性的当前使用的进程。实时获取主机文件信息能够获取主机文件和文件夹信息，并能象在本机一样可选择文件路径。2.4、注册表检测防护由于入侵者经常修改注册表，以及各种木马软件也修改注册表，考虑到主机的安全性，蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)研发出实时的注册表监控能力，防止非法修改注册表。可定义监控注册表策略，以监控读、建立、打开、删除、修改注册表。2.5、主机日志监控蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)可以实时获取安全域内用户主机上的安全日志、系统日志、应用程序日志，并作为数据来源，进行入侵检测。日志监控模块特点有：日志模块特点内容描述安全日志检测进行安全日志检测系统日志检测进行系统日志检测应用程序日志检测进行应用程序日志检测定义策略可定义策略有针对性获取日志数据。日志分析对获取的日志数据进行分析，并按照策略检测入侵行为2.6、设备管理和认证蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)能远程管理安全域内主机上的全部硬件设备，能禁止设备的使用。当新设备进入系统时，BD-SECSYS能自动发现并按照策略实施处理动作（记录、禁止、安全传输、报警、强制认证）。设备检测防护模块特点有：设备检测防护特点内容描述设备基线数据库对管理域内的主机上的设备建立基线数据库，以便需要时进行核查。自动发现设备功能当新设备进入计算机系统时，能自动发现新设备。无论没开机插入设备然后启动或计算机工作时接入新设备，都能发现新设备，并根据策略进行管理(记录、禁止、安全通讯、加密传输)。拦截或禁止功能根据策略可对违反规定的设备可实时拦截或禁止。移动存储设备认证功能根据策略对移动存储设备进行认证。提供移动存储设备认证数据库。完备的设备管理能管理的设备有：软盘FD、 MO盘、 ZIP盘、 JAZZ盘、 Flash Device盘、CD-R、 CD-RW、 USB/1394 Storage Device、 红外线接口、打印机、键盘、鼠标等。完备的端口管理可管理的端口有：键盘鼠标端口控制、USB 端口、 IDE总线、 光驱控制、 软驱控制 、SCSI 控制 、红外控制、 1394 火线端口控制、 并口控制 、串口控制等。2.7、主机资源审计蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)能对主机资源进行审计，并能实时监控主机资源状况。主机资源审计、监控模块特点有：主机资源审计、监控特点内容描述实用的主机资源监控可实时监控主机CPU、内存使用率主机进程管理可审计主机进程，并提供远程终止进程的能力，并设计禁止该程序运行策略主机系统信息审计审计主机系统信息，如CPU、内存、操作系统等。安装应用程序管理审计已安装的应用程序，并实时发现正在安装应用程序，按照策略进行禁止。能远程卸载应用程序。服务管理能远程管理（停止、启动）主机上的服务用户和组管理能审计主机用户和组信息2.8、异常检测蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)以计算机资源为目标建立异常检测模块，在其中使用了统计学方法。可异常检测的资源有CPU、内存、IP流量、ICMP流量、TCP流量、UDP流量等。2.9、外联监控在内网安全管理严格的情况下，主机用户为了使用方便或基于某些违规行为，使用拨号等手段进入Internet，从而导致单点破网，给内网安全带来极大的隐患，同时主机用户会通过这种手段泄漏内网机密信息。蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)通过外联监控手段有效防止信息泄漏。2.10、关联安全功能蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)与防火墙、网络入侵检测系统在安全架构内能按照策略进行联动或知识共享，从而形成整体、多层次的安全态势，产生关联安全效应。蓝盾主机监控与审计系统提供了开源的接口标准，以与其它安全设备进行有效联动。2.11、文件保密工具蓝盾文件加密工具提供文件数据加密、解密、安全删除、安全导入导出等几大功能，加密解密保证只有持有文件加密狗以及密码的文件主人才能对加密数据进行查看，修改。安全删除功能可以安全的将文件删除，避免被文件恢复工具所恢复。文件安全导入导出功能强制规定只有经过蓝盾文件保密工具加密过的的文件方可输出到usb闪存盘等移动存储设备上，以防止主机代理用户由于usb闪存盘等移动存储设备遗失等原因造成信息泄漏。2.12、安全透明存储功能通过控制中心管理主机上安全透明存储磁盘。在主机上注册安全透明磁盘，用户将该安全透明磁盘当作普通磁盘使用，实际上存储在该盘中的数据是高强度加密的。用户只有通过认证锁认证后才能使用该盘。3、典型部署蓝盾主机监控与审计系统典型应用如下图。通过在内网安装BD-SECSYS，能从纵深的角度防御入侵和误用，同时能成功防止保密信息泄漏，并能采取集中管理的手段实施桌面级安全。第二章 系统安装1、控制中心安装1.1、安装Mysql安装Mysql数据库，并运行Mysql数库。可执行Mysql的winmysqladmin程序运行Mysql。注意：在安装控制中心后，要使用BD-SECSYS的Mysql数据库管理工具使用Mysql更安全。1.2、安装主机监控与审计系统控制中心1.2.1、安装BD-SECSYS-C安装过程界面如下：1.2.2、运行BD-SECSYS-C第一次运行BD-SECSYS-C时应运行蓝盾主机监控与审计系统控制中心，注意运行BD-SECSYS-C要经过USB KEY才可运行。界面过程如下：在登录Mysql服务器配置中配置Mysql，服务器地址是运行Mysql服务器的计算机IP地址，如果是本机，选择“本地”选择框。在用户名使用root，密码不要填，数据库名应输入当前BD-SECSYS-C存储各种信息的数据库名，Mysql目录选择Mysql命令目录，仅限本地服务器有用。运行后在任务栏出现，如下：1.2.3、登录BD-SECSYS-C在任务栏中选择登录BD-SECSYS-C菜单出线如下界面：缺省用户名和密码都是：secsysadm。注意登录后应建立新用户，删除旧用户。1.2.4、配置BD-SECSYS-C选项登录后选择BD-SECSYS-C的“选项”菜单，进行系统配置，具体操作见操作手册。2、主机代理安装2.1、制作主机代理端安装程序在控制中心所在主机上运行主机代理端安装程序制作工具，界面如下图所示：填入输出IP和控制中心IP后点“制作”按钮，完成之后将在安装程序制作工具目录下出现“setup.exe”和“setup.conf”两个文件。在控制中心安装目录下新建一个名为“tmp”的目录，将这两个文件拷贝到该目录下即可注册主机代理时首先请打开主机代理注册工具目录下面的“config.txt”文件，一般情况下里面内容只有一个ip地址（如192.168.0.144），将其改为控制中心的ip地址。然后启动主机代理注册工具，界面如下图所示：输入所需信息之后点击“注册”按钮，稍等一段时间，出现“注册成功”时即说明已经安装注册成功。2.2、控制中心配置和管理主机代理为了管理主机代理应在控制中心进行远程配置主机代理，配置主要界面如下，具体基本操作部分。第三章 控制中心基本操作1、主机代理部分操作1.1、文件菜单“文件”菜单共有如下操作：主机用户管理、添加主机代理、删除主机代理、修改主机代理、修改主机代理密码、连接主机代理、断开主机代理、清除信息框。见图1.1。图1.11.1.1、主机用户管理通过“主机用户管理”操作，可录入内网主机用户信息，如姓名、电话、单位/部门、职责等。1.1.2、添加主机代理为了管理主机代理，必须增加主机代理有关信息，内容有：主机代理IP、MAC地址、主机用途、用户信息。注意主机代理IP是必须要。1.1.3、删除主机代理在主机代理管理中可删除主机代理的信息，但不能卸载主机代理软件。1.1.4、修改主机代理修改主机代理管理中的主机代理信息。不能修改主机代理软件配置。1.1.5、修改主机代理密码修改主机代理管理中的主机代理控制中心密码，缺省密码：1234567890。控制中心管理主机代理必须与主机进行密码和身份确认。1.1.6、连接主机代理要管理主机代理，必须通过“连接主机代理”操作与主机代理连接，才能进行后续操作。1.1.7、断开主机代理对主机代理操作完后，应选择 “断开主机代理”操作安全断开与主机代理的连接。1.1.8、清除信息框进行“清除信息框”操作，可清除信息框内容1.2、配置参数菜单1.2.1、修改配置文件1.2.1.1、系统信息主机代理获取主机信息情况，并进行分析后，可根据策略与防火墙、网络入侵检测系统等安全设备进行联动，有效拦截入侵者、误用行为、违规操作。联动IP和端口指的是防火墙、网络入侵检测系统用来联动的IP和端口。密钥是用于联动信息的加密传输。根据网络结构，决定主机代理是否通过控制中心与防火墙、网络入侵检测系统联动。信息输出IP地址指的是主机代理各种日志信息输出到何处，控制中心IP地址决定主机代理能接受管理的控制中心IP地址。1.2.1.2、模块信息该功能是为了功能模块扩展需要，现在暂时没有扩展模块。1.2.2、上传配置文件修改配置文件后，应上传到主机代理并激活修改，具体操作见“执行命令”操作。1.2.3、修改模块配置文件1.2.3.1、网络检测防护蓝盾主机监控与审计系统主机代理模块拥有桌面级防火墙功能。通过集中管理的方式实施内网主机安全，增加规则见下图，增加规则后应选择，并激活修改。为了防Arp欺骗，蓝盾主机监控与审计系统主机代理能将IP和MAC地址静态绑定，绑定后应上传到主机代理并激活。绑定操作如下图：1.2.3.2、共享防护蓝盾主机监控与审计系统提供了安全的共享防护能力。在下图示例操作中，如这条规则上传到192.168.0.145，同时192.168.0.145上有共享名testshare和用户名testuser，那么要访问192.168.0.145的testshare共享目录，则只能在192.168.0.144使用testuser用户名共享登录访问192.168.0.145的共享目录testshare。提示：1、上传规则，应激活后才能应用。2、用户和IP地址可绑定，也通过不填IP地址实施不绑定。在下图示例操作中，如这条规则上传到192.168.0.145，同时192.168.0.145上有共享名testshare和用户名testuser，那么要访问192.168.0.145的testshare共享目录下的testdir，则只能在192.168.0.144使用testuser用户名共享登录访问192.168.0.145的共享目录testshare下的testdir，从下图规则，该访问操作被拒绝。提示：1、上传规则，应激活后才能应用。2、用户和IP地址可绑定，也通过不填IP地址实施不绑定。3、访问目录表示方式：共享名目录蓝盾主机监控与审计系统实施可控性的共享打印。如192.168.0.144使用192.168.0.145提供testuser用户名访问该机的共享打印机，打印共享名是HPLaserJ，图示操作如下。提示：1、上传规则，应激活后才能应用。2、用户和IP地址可绑定，也通过不填IP地址实施不绑定。3、共享打印目录通过共享审计获取。1.2.3.3、文件检测防护蓝盾主机监控与审计系统提供实用的本地文件检测防护功能。下图是获取192.168.0.144文件信息。这样可象本地一样选择文件或目录。下图示例表示对e:sample文件夹下的目录和文件实施拒绝写操作。提示：1、上传规则，应激活后才能应用。1.2.3.4、注册表防护蓝盾主机监控与审计系统提供实用的本地注册表检测防护功能。下图示例表示对根键HKEY_CURRENT_USER下的testregdir子键实施拒绝新建操作。提示：1、上传规则，应激活后才能应用。1.2.3.5、日志监控蓝盾主机监控与审计系统提供实用的日志监控功能。能将安装主机代理上的主机日志按照要求实时传送到控制中心备份。策略设计如下图。提示：1、上传规则，应激活后才能应用。1.2.3.6、设备管理蓝盾主机监控与审计系统提供强大的设备管理能力。操作如下图。提示：1、上传规则，应激活后才能应用。1.2.3.7、其它蓝盾主机监控与审计系统提供异常检测能力，可异常检测CPU、内存、IP、ICMP、UDP、TCP等。CPU、内存的阀值是0-100，表示占用资源百分值只，IP、TCP、UDP的阀值是每秒发送和接收字节数。不能通讯处理方式是指人为断开主机代理和控制中心的联系，主机代理会根据策略禁止键盘和鼠标，在这种情况下，可使用蓝盾主机监控与审计系统USB-KEY解锁。1.2.4、上传模块配置文件修改模块配置文件后，应上传到主机代理并激活修改，具体操作见“执行命令”操作。1.2.5、移动存储设备管理蓝盾主机监控与审计系统主机代理强制移动存储设备认证。当移动存储设备进入主机代理所在的主机，主机代理能实时获取设备描述和该设备在主机中的逻辑盘符，然后在本地认证，如果本地认证没有，到控制中心认证，如果能找到认证结果，便将结果返回到主机代理，对该移动存储设备进行相应的策略处理，如果没有认证结果，便返回只读认证结果到主机代理，同时等代理控制中心的认证。下图操作说明：如果选择主机型，该设备只能在指定的主机有效，否则该设备不绑定到指定的主机；如果选择禁止写，该设备不能写，否则该设备能写。1.2.6、上传移动存储设备文件为了实施主机代理所在主机的移动存储设备能进行本地认证，应将该主机能认证的移动存储设备信息上传到该主机。1.3、主机审计菜单“主机审计”菜单共有如下操作：主机代理版本、主机代理时钟、主机资源审计、主机设备审计、进程资源审计、网络资源审计、共享资源审计、主机用户资源审计、服务资源审计、驱动资源审计。1.3.1、主机代理版本通过此操作能获取主机代理的版本号。1.3.2、主机代理时钟通过此操作能获取主机代理的所在主机时钟。1.3.3、安全透明存储空间审计通过该审计操作可管理主机上的安全透明存储空间。在主机上出现如下盘：1.3.4、主机资源审计通过此操作能获取主机代理的所在主机的主机资源，并可按照条件刷新资源和图形显示CPU和内存资源。1.3.5、主机设备审计通过此操作能获取主机代理的所在主机的设备资源，并可远程禁止或取消禁止设备。1.3.6、进程资源审计通过此操作能获取主机代理的所在主机的进程资源，并可按照条件进程资源，可远程终止进程。1.3.7、网络资源审计通过此操作能获取主机代理的所在主机的网络资源，如网络连接状态、IP地址、MAC地址、路由信息、流量统计信息等。1.3.8、共享资源审计通过此操作能获取主机代理的所在主机的共享资源信息、共享会话信息、共享访问文件信息。1.3.9、主机用户资源审计通过此操作能获取主机代理的所在主机的用户信息、本地组信息。1.3.10、服务资源审计通过此操作能获取主机代理的所在主机的服务资源，并能启动、停止、暂停、删除服务。1.3.11、驱动资源审计通过此操作能获取主机代理的所在主机的驱动资源，并能停止、删除驱动。1.3.12、安装软件资源审计通过此操作能获取主机代理的所在主机的安装程序列表，并能输出成报表，审计入库，和对不符合安全策略的程序进行卸载操作。1.4、系统菜单“系统”菜单功能有：设计主机代理所在主机时钟、主机代理密码、执行命令。1.4.1、修改主机代理时钟通过此操作远程更改主机代理所在主机时钟。1.4.2、修改主机代理密码通过此操作远程更改主机代理密码，这个密码用来判断控制中心连接主机代理时使用的密码是否正确。1.4.3、执行命令蓝盾主机监控与审计系统主机代理部分提供了对主机代理操作如下命令： 应用网络规则使主机代理基于网络检测防护的规则生效。 启动网络规则模块启动主机代理基于网络检测防护模块。 停止网络规则模块停用主机代理基于网络检测防护模块。 应用IP和MAC绑定应用IP和MAC绑定规则，防ARP欺骗。 清除IP和MAC绑定清除IP和MAC绑定规则。 应用共享信息应用共享信息，即用户名和共享名绑定。 清除共享信息清除共享信息，即清除用户名和共享名绑定。 应用共享防护规则信息应用共享防护规则信息，即用户名和共享名下目录绑定。 清除共享防护规则信息清除共享防护规则信息，即清除用户名和共享名下目录绑定。 启动文件监控模块启动文件检测防护模块。 停止文件监控模块停用文件检测防护模块。 应用文件监控规则信息应用文件检测防护的文件监控规则。 清除文件监控规则信息清除文件检测防护的文件监控规则。 启动注册表监控模块启用注册表检测防护模块。 停止注册表监控模块停用注册表检测防护模块。 应用注册表监控规则信息应用注册表检测防护模块的监控规则。 清除注册表监控规则信息清除注册表检测防护模块的监控规则。 启动日志监控模块启动日志监控模块，对主机代理端主机日志进行实时监控并获取。 停止日志监控模块停用日志监控模块。 应用日志监控规则信息应用日志监控模块的监控规则。 清除日志监控规则信息停用日志监控模块的监控规则。 应用设备管理规则信息应用设备管理模块的管理规则。 清除设备管理规则信息清除设备管理模块的管理规则。 应用新的输出信息地址修改主机代理的信息输出地址。 记录移动存储设备从主机写数据到移动存储设备，将进行记录。 清除移动存储设备管理信息清除移动存储设备管理信息，这样，应用在设备上的规则无效。 禁止移动存储设备禁止使用移动存储设备。 读取安全日志文件由于一些原因导致主机代理端日志不能送到控制中心，那么日志将存储主机代理端，通过这个操作能将日志读出并送到控制中心。 读取安全日志记录数由于一些原因导致主机代理端日志不能送到控制中心，那么日志将存储主机代理端，通过这个操作能将日志数。 禁止CD-RW禁止主机代理端使用CD-RW。 允许使用CD-RW允许主机代理端使用CD-RW。 禁止拨号禁止主机代理端使用Modem进行拨号。 允许拨号允许主机代理端使用Modem进行拨号。 禁止使用打印机禁止主机代理端使用打印机。 允许使用打印机允许主机代理端使用打印机。1.5、主机日志查询蓝盾主机监控与审计系统控制中心能将主机代理端送来的日志存储在Mysql数据库中，事后为了分析方便，可使用主机日志查询功能，进行必要而有效的分析。提供的功能有：查询、删除单前记录、条件删除记录、生成报表。通过“查询” 操作能从Mysql查询到符合条件的记录。通过“删除单前记录” 操作能从Mysql中删除当前选中的记录。通过“条件删除”操作能从Mysql中删除符合条件的记录。通过“生成报表” 操作能将列表框中的记录以TXT格式记录，方便打印。下图是主机信息查询条件对话框。条件有：时间、主机代理IP、信息类型，这三个条件是“与”关系。下图是主机信息删除条件对话框。条件有：时间、主机代理IP、信息类型，这三个条件是“与”关系。通过条件删除能从Mysql数据库中删除符合条件的记录。1.6、实时显示功能蓝盾主机监控与审计系统控制中心能实时显示主机代理送来的信息，并且能选中任一记录，了解详细信息。能够按照条件显示主机信息，也可清除缓冲中的记录。下图是主机代理信息显示条件，如果IP地址框中有IP地址，则仅能显示这些IP地址的信息，否则全部IP地址的信息。其它选择框如果选中表示符合该条件的就显示。1.7、策略模板功能蓝盾主机监控与审计系统策略模板功能提供成批增加规则的功能，方便了系统管理员进行统一管理。要使用策略模板功能，首先需定义策略模板。点击“配置参数”中的“策略模板管理”选项，出现如下图所示的窗口在窗口左边的“策略模板”树中，在需要设置的内容上点击鼠标右键，选择“新建策略模板”输入模板名和说明信息，点击确定，则新建模板出现在模板树中，如下图所示此时在策略模板管理对话框右边点击鼠标右键可进行相应的模板详细设置，内容依据模板类型而定。设置完模板后下一步是设置组。点击“文件”菜单中的“组管理”选项。出现如下窗口：在各个小框中点击鼠标右键，进行添加组，添加组成员，添加组策略的操作。设置完成组策略之后，在主机代理列表中选种主机代理，选择菜单中的“上传配置文件”和“上传模块配置文件”，将设置好的配置选项打上勾，点击“确定”统一上传，如下图所示2、其它操作2.1、Mysql数据库管理该工具用于管理Mysql数据库。登录后删除数据库、配置主机监控与审计系统参数、修改Mysql中的用户名密码、安全初始化Mysql等。2.2、选项操作2.2.1、入侵警报设置管理用户可以修改系统中某一级别入侵的入侵警报，并选择报警开关，如图所示：图66若选择声音报警，当系统捕获到入侵信息时，系统将产生报警声音。若选择图标报警，当系统捕获到入侵